Thales宣布正式发布CipherTrust Manager（简称：CM）2.10 版，增加了对 AWS、Azure、Google 和 Terraform 的支持。

CM增加了以下支持：

• nShield Network HSM作为信任根使用
• Prometheus – 现在可以监控集群运行状况并定义警报以进行干预和修复

CipherTrust Cloud Key Management（CCKM）增加了对以下方面的支持：

• AWS – 除了 API 之外，现在还可以在 UI 上使用策略管理
• Azure – 当Luna Network HSM是密钥源，且Azure密钥保管库是高级保管库或托管HSM时，支持机密计算
• Google Workspace CSE – Gmail 和多个 IDP，用于与外部用户共享文件
• Terraform Provider – 引入对AWS角色和Google EKM和CSE端点管理的支持

功能和增强功能

CipherTrust Manager v2.10.0

• 发布了 Quorum 功能以实现一般可用性。
• 添加了使用在 LDAP 连接管理器中创建的连接来浏览 LDAP 用户和组的功能。
• 添加了在测试 AWS 连接时验证 CipherTrust Manager 和 AWS 之间的时间是否同步的功能。
• 将安全可信通道 (STC) 模式扩展支持到连接管理器中的 Luna 网络 HSM 连接。
• 添加了控制用户允许的身份验证方法的功能。
• 添加了对防止删除正在使用的 SMB 连接的支持。
• 添加了创建系统策略以根据组和接口控制登录的能力。
• 添加了对密钥组的精细访问（基于客户端、用户、组）的支持。
• 添加了按有效权限过滤密钥的选项。
• 使 SSH 接口端口可配置。
• 增强了节点 API 以指定其他集群信息。
• 为 Prometheus 日志监控系统添加了集群信息指标。
• 添加了对 LDAP 的连接管理支持。
• 添加了对 Azure 和 Salesforce 连接的外部证书的支持。
• 添加了在相同类型的多个接口上使用证书的功能。

• GUI 增强：一致地使用了术语用户名。

技术预览

• 扩展的 HSM 锚定域功能：
• 添加了对域范围备份和还原的支持。
• 添加了更新域以恢复与存储在 HSM 分区中的原始域密钥加密密钥 (KEK) 的丢失关联的功能。
• 添加了对 nShield Connect HSM 作为信任根的支持。
• 增强了用于 CipherTrust Manager 用户身份验证的 OIDC 连接。CipherTrust Manager 现在会在每次身份验证时检查并刷新来自身份提供者的签名密钥，以跟上密钥轮换的步伐。
• 对 ks-upgrade.sh 升级脚本的用户友好的小改进。
• 由于设计稳定性，Prometheus 指标端点现在得到全面支持，不再是技术预览版。

限制 

• 目前，日志转发器未配置为使用系统的代理配置。如果配置了代理，则日志转发器会绕过代理服务器。

• 域内用户和组的备份和恢复只能在不同 CipherTrust Manager 的域之间进行。此功能不支持同一个 CipherTrust Manager 不同域之间的备份和恢复。

已弃用的功能 

CipherTrust Manager 2.9 版以后：

• 重新启动时不会生成“全局”用户。
• 无法创建“全局”用户。

升级到 CipherTrust Manager 2.9 时，“全局”用户被删除。

在 CipherTrust Manager 2.8 和 2.9 混合集群环境中，如果存在“全局”用户，则无法以“全局”用户身份登录。

在升级到 CipherTrust Manager 2.9 或在混合集群环境中，如果删除了“全局”用户，则“全局”用户拥有的密钥将可供“密钥管理员”或“管理员”组访问。NAE/KMIP 用户也可以访问这些密钥。

CipherTrust应用程序数据保护（CADP）

• 添加了对访问策略的支持，允许您在基于用户的显示操作期间选择如何在 RESTful API 调用中显示数据。数据可以显示为：
• 纯文本
• 密文
• 掩蔽值
• 错误/替换值
• 增加了 DPG 的许可强制执行。

CCKM

• 添加了对 GCP 密钥用途“MAC”的支持，用于使用 API 对对称密钥进行签名和验证。
• 添加了在最后一次密钥轮换的特定天数后自动轮换密钥的功能。
• 添加了对使用 API 将策略更新动态推送到关联 AWS 密钥的支持。
• 添加了对技术用户连接到 SAP 数据保管人的支持。
• 添加了使用 API 在密钥保管库级别安排密钥轮换的功能。
• 添加了在 AWS 密钥策略中包含角色的功能。现在，可以将关键管理员和关键用户访问权限授予 IAM 角色。
• 添加了对使用 GUI 的 Azure Key Vault 托管 HSM 云服务的支持。Azure 托管 HSM 保管库仅支持 RSA-HSM和 EC-HSM 密钥。其他功能与常规 Azure 保管库相同。
• 启用了对 Luna Network HSM 的 Microsoft 机密计算的支持，将其作为 Azure 托管 HSM 或高级 Azure Key Vault 的关键源。为此，为 Azure Key Vault 中的密钥引入了可导出标志。
• GWS Workspace CSE：添加了将多个身份提供者 (IdP) 附加到各个端点的功能。
• GWS Workspace CSE：增加了对 Gmail 邮件客户端加密的支持。
• Google EKM：支持新的密钥访问理由理由 MODIFIED_GOOGLE_INITIATED_SYSTEM_OPERATION。
• 添加了对管理 AWS CloudHSM 自定义密钥存储的支持。

CipherTrust透明加密（CTE）

• 添加了对 CipherTrust Manager 对 CTE 操作和资源的仲裁控制的支持。CipherTrust Manager 管理员可以将仲裁策略配置为有多个批准者来支持操作。
• 增加了对 Kubernetes 客户端 CTE 签名集的支持。
• 添加了对 Wasabi 云存储的 COS 策略的支持。
• 增强了 CTE 客户端 GUI 以显示不同的客户端类型 - FS (CTE)、CSI (CTE for Kubernetes) 和 CTE-U (CTE UserSpace)。
• 增强的 CTE 报告可根据客户端类型过滤报告 - FS (CTE)、CSI（CTE for Kubernetes）和 CTE-U（CTE 用户空间）。

注意：

DSM 上 Efficient Storage 和 Container 策略的 CTE 资源无法通过备份/恢复方式迁移到 CipherTrust Manager 2.10。容器策略仅在 DSM 上受支持。但是，可以在 CipherTrust Manager 上手动创建 Efficient Storage 资源。未来版本将支持迁移高效存储资源。

CTE UserSpace

CTE UserSpace 是基于 CTE 和 CTE UserSpace（更名为 ProtectFile FUSE）的独立于内核的新文件加密产品。

• 运行5及更高版本代理 的 CTE 用户空间客户端的资源 由 CipherTrust Manager 上的透明加密应用程序管理。这些客户端不能由 ProtectFile 和透明加密用户空间 应用程序管理。

此版本不支持以下功能：

• 内核兼容性矩阵
• 代理和系统锁
• CBC 和 XTS 密钥
• COS、ESG、IDT 和 LDT 策略和 GuardPoints

要管理运行以前版本的 CTE 用户空间代理的客户端，请仅使用 ProtectFile 和透明加密用户空间 应用程序。或者，将这些客户端升级到 CTE UserSpace 9.5 或更高版本。

• 添加了对 CipherTrust Manager 对 CTE 操作和资源的仲裁控制的支持。CipherTrust Manager 管理员可以将仲裁策略配置为有多个批准者来支持操作。
• 增强了 CTE 客户端 GUI 以显示不同的客户端类型 - FS (CTE)、CSI (CTE for Kubernetes) 和 CTE-U (CTE UserSpace)。
• 增强的 CTE 报告可根据客户端类型过滤报告 - FS (CTE)、CSI（CTE for Kubernetes）和 CTE-U（CTE 用户空间）。

CIP 

• 添加了对 NFS 和 SMB/CIFS 数据存储的支持
• 添加了扫描 SMB/CIFS 数据存储的功能
• 添加了为 NFS/SMB/CIFS 数据存储生成报告的功能
• 对 NFS 和 SMB/CIFS GuardPoints 的扩展策略支持

DDC

• 支持 RHEL 8 代理
• 支持 PostgreSQL 中的 SCRAM-SHA-256 身份验证
• OneDrive for Business 数据存储支持
• 对 Oracle、Microsoft SQL、PostgreSQL、MySQL、Teradata 和 IBM DB2 的 BLOB 支持
• 收集代理日志以进行故障排除
• 增强的扫描进度状态允许您查看具有阻止百分比的扫描是否卡住或正在进行

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 勒索软件制裁：有什么影响？

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• Oracle的欧盟主权云和 Thales CipherTrust：数字主权的新时代

• 经验教训：2023年全球网络安全的五个要点

• 机器学习如何加速并提高敏感数据分类的准确性